Imagina que llevas a reparar tu smartphone. Lo dejas un par de d\u00edas, vas a buscarlo y\u2026 \u00a1genial! \u00a1Est\u00e1 c\u00f3mo nuevo! Lo que no sabes es que, mientras estaba en el taller, le inyectaron c\u00f3digo malicioso que le permitir\u00e1 a un atacante acceder a \u00e9l incluso si lo has bloqueado.<\/p>\n
As\u00ed comienza la historia que contaron los investigadores Alexander Kozlov y Sergey Anufrienko, de Kaspersky ICS CERT, en la conferencia Black\u00a0Hat Asia de 2026<\/a>. Alexander y Sergey hallaron una vulnerabilidad que echa enteramente por tierra nuestras creencias sobre la seguridad de los smartphones y la IoT. Es un problema que yace en el propio coraz\u00f3n de los chips de Qualcomm.<\/p>\n Para dimensionar la gravedad del hallazgo, veamos c\u00f3mo se inicia un dispositivo moderno con un chip de Qualcomm. El dispositivo es como una fortaleza con varias capas de seguridad encadenadas. Cada capa sucede a otra y verifica la aprobaci\u00f3n que otorg\u00f3 una capa anterior. La capa fundamental \u2015aquella en la que m\u00e1s se deposita la confianza\u2015 se llama BootROM. Es una memoria de solo lectura que forma parte del silicio y que, una vez que el chip sale de la f\u00e1brica<\/a>, ya no se puede modificar<\/p>\n El BootROM es lo primero que se ejecuta cuando se enciende el dispositivo. Verifica la firma del cargador de arranque que viene despu\u00e9s, el cual luego verifica el siguiente. As\u00ed se crea una cadena de confianza, que termina en el sistema operativo. Si un atacante logra vulnerar la cadena en el nivel del BootROM, todo est\u00e1 perdido: el c\u00f3digo malicioso se ejecutar\u00e1 antes de que el sistema operativo principal tenga siquiera oportunidad de cargarse.<\/p>\n Y esto es, precisamente, lo que los atacantes pueden hacer al explotar la vulnerabilidad CVE-2026-25262<\/a>, descubierta por los investigadores de Kaspersky ICS CERT.<\/p>\n La investigaci\u00f3n comenz\u00f3 con un protocolo llamado Sahara. Es un componente del modo de descarga de emergencia (EDL). Los fabricantes y los centros de reparaciones lo utilizan para revivir dispositivos descompuestos: el tel\u00e9fono se conecta a una computadora por USB y se carga una utilidad especial con la firma del fabricante (en este caso, Qualcomm).<\/p>\n Sahara est\u00e1 implantado directamente en el cargador de arranque principal (PBL) de ARM, o, en otras palabras, en el BootROM. Debido a ello, el protocolo se ejecuta antes de que se inicie el sistema operativo, antes de que se verifiquen los privilegios de acceso del usuario y antes de que se activen los controles de seguridad. El dispositivo simplemente queda atento a una conexi\u00f3n USB y se pone a la espera de datos.<\/p>\n El esquema de comunicaci\u00f3n parece simple: el dispositivo env\u00eda a la computadora un \u201capret\u00f3n de manos\u201d (un \u201cHOLA\u201d llamado \u201chandshake\u201d), la computadora selecciona el modo, se inicia un ciclo que comienza a cargar la utilidad en fragmentos y, al final del proceso, el dispositivo ejecuta el c\u00f3digo cargado. La vulnerabilidad se encontr\u00f3, precisamente, en la l\u00f3gica de verificaci\u00f3n de estos fragmentos.<\/p>\n En t\u00e9rminos t\u00e9cnicos, el error que introdujeron los desarrolladores se clasifica con el r\u00f3tulo CWE-123: condici\u00f3n write-what-where. Es uno de los peores errores que se pueden cometer en la programaci\u00f3n de bajo nivel. Permite que un atacante escriba datos arbitrarios en una direcci\u00f3n arbitraria de la memoria de un dispositivo.<\/p>\n Sin profundizar en lo t\u00e9cnico, al explotar la vulnerabilidad descubierta, los atacantes pueden obtener acceso a toda la informaci\u00f3n del dispositivo \u2015incluidas las contrase\u00f1as que ingres\u00f3 el usuario, los archivos, los contactos y los datos de geolocalizaci\u00f3n\u2015, as\u00ed como a la c\u00e1mara, el micr\u00f3fono y otros sensores f\u00edsicos. En ciertos casos, el atacante puede hacerse con el control total del dispositivo. Vulnerar un equipo requiere solo de un cable y unos minutos de acceso f\u00edsico. As\u00ed, el riesgo puede materializarse si el tel\u00e9fono queda en un centro de reparaci\u00f3n, si se lo deja en manos de alguien para que \u201clo configure y le instale apps\u201d o si, como es normal que ocurra, queda desatendido en alg\u00fan sitio.<\/p>\n La vulnerabilidad CVE-2026-25262 afecta a las siguientes series de chips de Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 y SDX50. Hasta que el fabricante corrija la vulnerabilidad, cada versi\u00f3n fabricada de estos chips estar\u00e1 alcanzada.<\/p>\n Estos chips no son piezas de museo. El MDM9207, con el que realizamos la mayor parte de la investigaci\u00f3n, est\u00e1 integrado en m\u00f3dulos de m\u00f3dem utilizados para la Internet de las cosas, equipos industriales, dispositivos inteligentes para el hogar, sistemas de monitoreo de atenci\u00f3n m\u00e9dica, rastreadores de log\u00edstica y terminales bancarias. El MSM8916 es la base de muchos smartphones econ\u00f3micos<\/a>, mientras que el SDX50 se usa en unidades de control automotoras.<\/p>\n Para explotar la vulnerabilidad, hay un escollo: el atacante necesita acceso f\u00edsico al dispositivo. En el mundo real, los ataques pueden darse en estos contextos:<\/p>\n Con apenas unos minutos de acceso f\u00edsico al dispositivo, un atacante puede colocar una puerta trasera tan escondida que, en la mayor\u00eda de los casos, no ser\u00e1 detectada por herramientas de investigaci\u00f3n est\u00e1ndar.<\/p>\n El hallazgo se comunic\u00f3 a Qualcomm en marzo de 2025, tras lo cual la empresa confirm\u00f3 que sus chips eran vulnerables. Para identificar la vulnerabilidad, Qualcomm reserv\u00f3 el identificador CVE-2026-25262<\/a>. El 20 de abril de 2026, Kaspersky ICS CERT public\u00f3<\/a> informaci\u00f3n t\u00e9cnica sobre la vulnerabilidad y recomendaciones para los usuarios.<\/p>\n Qualcomm incluy\u00f3 la vulnerabilidad en su bolet\u00edn de seguridad de mayo<\/a>. Corregir los dispositivos que ya se fabricaron es fundamentalmente imposible, pero la compa\u00f1\u00eda prometi\u00f3 que la vulnerabilidad no estar\u00e1 presente en ning\u00fan chip fabricado en el futuro.<\/p>\n Si hoy tienes un dispositivo con un chip afectado, sigue estas recomendaciones para mitigar el riesgo de infecci\u00f3n:<\/p>\n Si notas que tu dispositivo con chip de Qualcomm vulnerable comienza a actuar de manera extra\u00f1a, se sobrecalienta cuando est\u00e1 inactivo, muestra picos inesperados en el tr\u00e1fico de red o tiene apps que dejan de funcionar como siempre, puede que hayas ca\u00eddo presa de esta vulnerabilidad. Podr\u00e1s borrar el c\u00f3digo malintencionado y restablecer el estado inicial del dispositivo con solo cortarle la energ\u00eda por completo. Para ello, quita la bater\u00eda del equipo o deja que la carga se agote por completo (es decir, espera a que el dispositivo se apague por s\u00ed solo). Si sigues estos pasos, lo m\u00e1s probable es que el c\u00f3digo malintencionado desaparezca del dispositivo: en nuestras investigaciones, no pudimos confirmar que el c\u00f3digo fuera capaz de persistir en la memoria no vol\u00e1til.<\/p>\n \u00bfQuieres m\u00e1s informaci\u00f3n sobre las vulnerabilidades m\u00e1s graves de los tel\u00e9fonos Android? Echa un vistazo a estas publicaciones:<\/p>\n Ataques a redes 5G: la carrera armamentista contin\u00faa<\/a><\/p>\n \u00bfTe est\u00e1n espiando los servicios de geolocalizaci\u00f3n?<\/a><\/p>\n Vulnerabilidad Pixnapping: capturas de pantalla imposibles de bloquear de tu tel\u00e9fono Android<\/a><\/p>\n Robo de datos durante la carga de un tel\u00e9fono inteligente<\/a><\/p>\n\u00bfQu\u00e9 es el BootROM?<\/h2>\n
El modo de descarga de emergencia: el punto de entrada<\/h2>\n
Write-what-where: el coraz\u00f3n de la vulnerabilidad<\/h2>\n
Cu\u00e1les son los dispositivos afectados<\/h2>\n
C\u00f3mo es el ataque contra un dispositivo vulnerable<\/h2>\n
\n
Por qu\u00e9 no hay un parche para esto y qu\u00e9 puedes hacer<\/h2>\n
\n